Mimecast Secure Email Gateway-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Mimecast Secure Email Gateway-Logs erfassen, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel MIMECAST_MAIL.

Mimecast Secure Email Gateway konfigurieren

  1. Aktivieren Sie das Logging für das Anmeldekonto.
  2. Erstellen Sie die API-Anwendung.
  3. Rufen Sie die Anwendungs-ID und den Anwendungsschlüssel ab.

Logging für das Anmeldekonto aktivieren

  1. Melden Sie sich in der Mimecast Administration-Konsole an.
  2. Klicken Sie im Menü Konto auf Kontoeinstellungen.
  3. Maximieren Sie Erweiterte Protokollierung.
  4. Wählen Sie die Protokolltypen aus, die Sie aktivieren möchten:
    • Eingehend: Hier werden Nachrichten von externen Absendern an interne Empfänger protokolliert.
    • Ausgehend: Hier werden Nachrichten von internen Absendern an externe Empfänger protokolliert.
    • Intern: Hier werden Nachrichten innerhalb von internen Domains protokolliert.
  5. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

API-Anwendung erstellen

  1. Melden Sie sich in der Mimecast Administration-Konsole an.
  2. Klicken Sie auf API-Anwendung hinzufügen.
  3. Geben Sie die folgenden Informationen ein:
    1. Name der Anwendung.
    2. Beschreibung der Anwendung.
    3. Kategorie: Geben Sie eine der folgenden Kategorien ein:
      • SIEM-Integration: Ermöglicht die Echtzeitanalyse der von der Anwendung generierten Sicherheitswarnungen.
      • MSP-Bestellungen und -Bereitstellung: Verfügbar für ausgewählte Partner, um Bestellungen im MSP-Portal zu verwalten.
      • E-Mails / Archivierung: Bezieht sich auf Nachrichten und Benachrichtigungen, die in Mimecast gespeichert sind.
      • Business Intelligence: Ermöglicht es der Infrastruktur und den Tools der Anwendung, auf Informationen zuzugreifen und diese zu analysieren, um Entscheidungen und Leistung zu verbessern und zu optimieren.
      • Prozessautomatisierung: Ermöglicht die Automatisierung von Geschäftsprozessen.
      • Sonstiges: Falls die Anwendung in keine andere Kategorie fällt.
  4. Klicken Sie auf Weiter.
  5. Geben Sie im Abschnitt Einstellungen die folgenden Details ein:
    • Name des Entwicklers: Name des Entwicklers der Anwendung.
    • E-Mail: E-Mail-Adresse des Entwicklers der Anwendung.
  6. Klicken Sie auf Weiter.
  7. Prüfen Sie die Informationen auf der Zusammenfassungsseite.
  8. So beheben Sie Fehler:
    • Klicken Sie neben Details oder Einstellungen auf die Schaltfläche Bearbeiten.
    • Klicken Sie auf Weiter und kehren Sie zur Seite Zusammenfassung zurück.

App-ID und App-Schlüssel abrufen

  1. Klicken Sie auf Anwendung und dann auf Dienste.
  2. Klicken Sie auf API-Anwendung.
  3. Wählen Sie die erstellte API-Anwendung aus.
  4. Rufen Sie die Anwendungsdetails auf.

API-Zugriff und Secret-Schlüssel erstellen

Informationen zum Generieren von Zugriffs- und geheimen Schlüsseln finden Sie unter Nutzerzuordnungsschlüssel erstellen.

Feed in Google Security Operations konfigurieren, um Mimecast Secure Email Gateway-Protokolle zu verarbeiten

  1. Klicken Sie auf SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
  3. Geben Sie den Feednamen ein.
  4. Wählen Sie Drittanbieter-API als Quelltyp aus.
  5. Wählen Sie Mimecast als Log-Typ aus, um einen Feed für das Mimecast Secure Email Gateway zu erstellen.
  6. Klicken Sie auf Weiter.
  7. Konfiguriere den HTTP-Authentifizierungsheader, indem du die Anwendungs-ID, den Zugriffsschlüssel, die geheime ID und den Anwendungsschlüssel angibst.
  8. Klicken Sie auf Weiter und dann auf Senden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser extrahiert Schlüssel/Wert-Paare aus Mimecast-E-Mail-Serverprotokollen, kategorisiert die Phase des Logeintrags (EMPFANG, VERARBEITUNG oder LIEFERUNG) und ordnet die extrahierten Felder dem UDM zu. Außerdem wird eine spezielle Logik für die Verarbeitung sicherheitsbezogener Felder verwendet, um die Sicherheitsaktion, die Kategorie, den Schweregrad und die zugehörigen Details anhand von Werten wie Act, RejType, SpamScore und Virus zu bestimmen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
acc metadata.product_log_id Der Wert acc wird metadata.product_log_id zugeordnet.
Act security_result.action Wenn Act „Acc“ ist, ist der Wert „ALLOW“. Wenn Act „Rej“ ist, ist der Wert „BLOCK“. Wenn Act „Hld“ oder „Sdbx“ ist, ist der Wert „QUARANTINE“.
AttNames about.file.full_path Das Feld AttNames wird nach dem Entfernen von Anführungszeichen und Leerzeichen und dem Trennen durch Kommas einem Array von about.file.full_path-Objekten zugeordnet.
AttSize about.file.size Der Wert von AttSize wird in eine vorzeichenlose Ganzzahl konvertiert und about.file.size zugeordnet.
Cphr datetime metadata.event_timestamp Der Wert von datetime wird als Zeitstempel geparst und metadata.event_timestamp zugeordnet.
Delivered Nicht zugeordnet Wird verwendet, um stage und product_event_type zu bestimmen.
Definition security_result.summary Der Wert Definition wird security_result.summary zugeordnet.
Dir network.direction, security_result.detection_fields Wenn Dir „Intern“ oder „Eingehend“ ist, ist der Wert „INBOUND“. Wenn Dir „Extern“ oder „Outbound“ ist, ist der Wert „OUTBOUND“. Außerdem als Erkennungsfeld mit dem Schlüssel „network_direction“ hinzugefügt.
Err security_result.summary Der Wert Err wird security_result.summary zugeordnet.
Error security_result.summary Der Wert Error wird security_result.summary zugeordnet.
fileName principal.process.file.full_path Der Wert fileName wird principal.process.file.full_path zugeordnet.
filename_for_malachite principal.resource.name Der Wert filename_for_malachite wird principal.resource.name zugeordnet.
headerFrom network.email.from, security_result.detection_fields, principal.user.email_addresses Der Wert von headerFrom wird network.email.from zugeordnet, wenn Sender keine gültige E-Mail-Adresse ist. Außerdem als Erkennungsfeld mit dem Schlüssel „header_from“ hinzugefügt. Wenn weder Sender noch headerFrom gültige E-Mail-Adressen sind, wird headerFrom nicht network.email.from zugeordnet.
IP principal.ip oder target.ip Der Wert von IP wird principal.ip zugeordnet, wenn stage „RECEIPT“ (EMPFANG) ist, oder target.ip, wenn stage „DELIVERY“ (LIEFERUNG) ist.
Latency md5 MsgId network.email.mail_id Der Wert MsgId wird network.email.mail_id zugeordnet.
MsgSize network.received_bytes Der Wert von MsgSize wird in eine vorzeichenlose Ganzzahl konvertiert und network.received_bytes zugeordnet.
Rcpt target.user.email_addresses, network.email.to Der Wert Rcpt wird target.user.email_addresses und network.email.to zugeordnet.
RcptActType RcptHdrType Recipient network.email.to, target.user.email_addresses Der Wert von Recipient wird network.email.to zugeordnet, wenn Rcpt keine gültige E-Mail-Adresse ist.
RejCode security_result.description Trägt zum Wert von security_result.description im Format „RejCode=“ bei.
RejInfo security_result.description Trägt zum Wert von security_result.description im Format „RejInfo=“ bei.
RejType security_result.description, security_result.category, security_result.category_details, security_result.severity Trägt zum Wert von security_result.description im Format „RejType=“ bei. Wird auch verwendet, um security_result.category und security_result.severity zu bestimmen. Direkt mit security_result.category_details verknüpft.
Route security_result.detection_fields Als Erkennungsfeld mit dem Schlüssel „Route“ hinzugefügt.
ScanResultInfo security_result.threat_name Der Wert ScanResultInfo wird security_result.threat_name zugeordnet.
Sender network.email.from, security_result.detection_fields, principal.user.email_addresses Der Wert Sender wird network.email.from zugeordnet. Außerdem als Erkennungsfeld mit dem Schlüssel „Absender“ hinzugefügt.
SenderDomain sha1 target.file.sha1 Der Wert sha1 wird target.file.sha1 zugeordnet.
sha256 target.file.sha256 Der Wert sha256 wird target.file.sha256 zugeordnet.
Size Snt network.sent_bytes Der Wert von Snt wird in eine vorzeichenlose Ganzzahl konvertiert und network.sent_bytes zugeordnet.
SourceIP principal.ip Der Wert von SourceIP wird principal.ip zugeordnet, wenn stage „RECEIPT“ ist und IP nicht vorhanden ist.
SpamInfo security_result.severity_details Trägt zum Wert von security_result.severity_details im Format „SpamInfo=“ bei.
SpamLimit security_result.severity_details Trägt zum Wert von security_result.severity_details im Format „SpamLimit=“ bei.
SpamScore security_result.severity_details, security_result.severity Trägt zum Wert von security_result.severity_details im Format „SpamScore=“ bei. Wird auch verwendet, um security_result.severity zu bestimmen, wenn RejType nicht festgelegt ist.
Subject network.email.subject Der Wert Subject wird network.email.subject zugeordnet.
TlsVer URL UrlCategory UseTls Virus security_result.threat_name Der Wert Virus wird security_result.threat_name zugeordnet.
metadata.event_type Legen Sie „EMAIL_TRANSACTION“ fest, wenn Sender oder Recipient/Rcpt gültige E-Mail-Adressen sind. Andernfalls „GENERIC_EVENT“.
metadata.vendor_name Muss immer auf „Mimecast“ festgelegt sein.
metadata.product_name Muss immer auf „Mimecast MTA“ festgelegt sein.
metadata.product_event_type Legen Sie „E-Mail “ fest. Die Phase wird dann anhand der Präsenz und der Werte anderer Felder bestimmt.
metadata.log_type Muss immer auf „MIMECAST_MAIL“ festgelegt sein.
security_result.severity Wird auf „LOW“ gesetzt, wenn has_sec_result „false“ ist. Andernfalls wird sie durch RejType oder SpamScore bestimmt.

Änderungen

2023-03-31

  • Verbesserungen:
  • „filename_for_malachite“ wurde „principal.resource.name“ zugeordnet.
  • „fileName“ wurde „principal.process.file.full_path“ zugeordnet.
  • „sha256“ wurde auf „target.file.sha256“ zugeordnet.
  • „sha1“ wurde „target.file.sha1“ zugeordnet.
  • Bedingte Prüfung für „aCode“ hinzugefügt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten